安帝速递|【工业网络安全月报2022年-06月】

安帝速递|【工业网络安全月报2022年-06月】

时间:2022-07-01 作者:安帝科技

一、政策扫描

国务院发布关于加强数字政府建设的指导意见,要求加强关键信息基础设施安全保障。日本、英国、加拿大多国颁布关键基础设施相关网络法案,十分重视关基安全。美国众议院通过ICS网络安全培训法案,旨在加强工控安全人才建设。
1、国务院发布关于加强数字政府建设的指导意见
国务院发布关于加强数字政府建设的指导意见。《指导意见》将“数据赋能”、“安全可控”作为基本原则,要求全面强化数字政府安全管理责任,落实安全管理制度,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,切实筑牢数字政府建设安全防线。
资料来源:http://www.gov.cn/zhengce/content/2022-06/23/content_5697299.htm

2、《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》公开征求修订意见
6月15号消息,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)进行修订,形成《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,现向社会公开征求意见。意见反馈截止日期为2022年7月13日。
资料来源:http://www.nea.gov.cn/2022-06/14/c_1310622577.htm

3、市场监管总局、网信办将开展数据安全管理认证工作
6月9日,国家市场监督管理总局、国家互联网信息办公室发布关于开展数据安全管理认证工作的公告。公告指出,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。
资料来源:https://mp.weixin.qq.com/s/6RQ7MPwad_SH4aHBV0x0vw

4、日本敲定重要基础设施企业网络安全行动计划
日本政府6月17日在首相官邸召开网络安全战略总部会议,敲定了有关通信、电力和铁路等重要基础设施企业安全对策的新行动计划,要求对可能导致重要基础设施故障的供应链进行风险管理。
资料来源:https://china.kyodonews.net/news/2022/06/9f7d463feee7–.html

5、加拿大将颁布《关键网络系统保护法》
2022年6月14日,加拿大政府提出了C-26法案,即《网络安全法案》(ARCS)。ARCS将颁布《关键网络系统保护法》,该法案将建立一个监管框架,要求金融、电信、能源和运输部门的指定运营商保护其关键网络系统。
资料来源:https://www.canada.ca/en/public-safety-canada/news/2022/06/protecting-critical-cyber-systems.html

6、英国宣布防御性网络攻击合法
英国总检察长宣布,当关键服务(如关键基础设施和银行)受到国外威胁行为者的攻击时,该国可以利用防御性网络攻击。并确定了四个被认为特别容易受到网络入侵的部门:能源安全、基本医疗保健、供应链中断和民主进程。
资料来源:https://www.cpomagazine.com/cyber-security/defensive-cyber-attacks-declared-legal-by-uk-ag-path-cleared-to-hack-back-when-critical-infrastructure-services-attacked/

7、美国众议院通过ICS网络安全培训法案
美国众议院通过了《ICS网络安全培训法案》,该法案在网络安全和基础设施安全局(CISA)内建立了一项倡议,为网络安全人员提供免费的虚拟和面对面课程以及工业控制系统(ICS)网络安全培训。除了教育培训计划外,该法案还包括年度报告要求。
资料来源:https://nationalcybersecuritynews.today/house-clears-ics-cyber-training-bill-meritalk-itsecurity-infosec/

8、美国众议院通过旨在加强医疗设备网络安全的立法
5月10日,英国公布了《数据改革法案》。该法案将用于改革英国现有的《通用数据保护条例》和《数据保护法案》。并且,该法案寻求简化数据保护相关立法,通过创建一种更灵活的、以结果为中心的方法来减轻企业的负担,同时还引入了更明确的个人数据使用规则。
资料来源:https://www.computerweekly.com/news/252518054/Data-Reform-Bill-announced-in-Queens-Speech

9、英国政府发布《2022民用核网络安全战略》
美国众议院已通过《2022年食品和药品修正案》。该法案要求任何向美国食品和药物管理局(FDA)提交网络设备上市前申请的制造商应包括所有所需的详细信息。此举将有助于确保满足网络医疗设备的网络安全要求,并确定其适合证明安全性和有效性的合理保证。
资料来源:https://industrialcyber.co/regulation-standards-and-compliance/legislation-that-focuses-on-enhancing-medical-device-cybersecurity-passes-in-us-house/

二、安全事件

美国能源部与网络安全解决方案提供商合作,以加强电网安全保护。美国和欧盟计划联合资助发展中国家的安全数字基础设施,爱尔兰政府加入微软政府安全计划寻求保护关键基础设施。企业同样关注OT安全,Dragos推出OT-CERT计划,Fortinet、Forescout发布了OT安全研究。
1、美国能源部与网络安全解决方案提供商合作以保护电网
美国能源部(DOE)的清洁能源网络安全加速器(CECA)中心正在与网络安全解决方案提供商合作,接受为分布式能源提供强大认证的应用程序,以保护现代电网并加快将经过测试的解决方案推向市场。
资料来源:https://industrialcyber.co/technology-solutions/does-ceca-expands-scope-joins-with-cybersecurity-solution-providers-to-secure-electric-grid-introduce-tested-solutions/

2、美欧拟向发展中国家提供网络安全援助
美国和欧盟计划联合资助发展中国家的安全数字基础设施以对抗中国的影响力。这标志着欧盟和美国将首次合作,资助并帮助保护其他国家的关键基础设施免受网络攻击。初步计划可能会在今年年底前,在非洲或拉丁美洲进行。
资料来源:https://www.wsj.com/articles/u-s-eu-plan-joint-foreign-aid-for-cybersecurity-to-counter-china-11655285401

3、爱尔兰政府加入微软政府安全计划

爱尔兰政府已加入微软政府安全计划(GSP),该计划将协助保护关键的国家基础设施免受网络攻击。爱尔兰国务部长表示,微软与爱尔兰之间的这种新合作伙伴关系将成为保护爱尔兰数字基础设施免受网络威胁的关键推动力。
资料来源:https://www.rte.ie/news/business/2022/0614/1304884-cybersecurity-programme/

4、工业网络安全公司Dragos推出OT-CERT计划
工业网络安全公司Dragos 6月7日宣布推出OT-CERT计划,在为工业资产所有者和运营商提供免费的网络安全资源。OT-CERT(运营技术网络应急准备小组)旨在帮助成员改善其网络安全态势、制定网络安全计划并降低风险。
资料来源:https://s.vnshu.com/2LEime

5、Fortinet报告显示,OT安全系统存在广泛差距
Fortinet发布了一份《2022年运营技术和网络安全状况报告》。Fortinet发现只有13%的受访者实现了对所有OT活动的集中可见性。此外,只有52%的组织可以从安全运营中心(SOC)跟踪所有OT活动。
资料来源:https://s.vnshu.com/1eLRM3

6、Forescout发布IoT/OT勒索软件PoC研究
Forescout的Vedere实验室发布了一项名为R4IoT(物联网勒索软件)的新研究,这是一项概念验证(PoC)研究。R4IoT利用物联网设备进行初始访问,通过破坏物联网、IT和OT资产,R4IoT超越了通常的加密和数据泄露,导致业务运营的物理中断。
资料来源:https://s.vnshu.com/3AAXJB

7、两家德国能源供应商遭网络攻击
两家德国能源供应商Entega和Mainzer Stadtwerke在6月12日遭到网络攻击。Entega声称关键基础设施没有受到影响,也没有客户数据被泄露。Mainzer Stadtwerke表示,其关键基础设施没有受到损坏,预计不会出现供应故障。
资料来源:https://cybernews.com/news/hackers-knock-out-two-german-energy-suppliers/

8、伊朗三家钢铁厂遭受重大网络攻击
伊朗国有的胡齐斯坦钢铁公司6月27日表示,在遭受网络攻击后被迫停止生产。另有两家钢铁企业也称受到攻击,都不承认有任何损坏或工作中断。伊朗政府没有承认发生了破坏,也没有将攻击归咎于任何特定组织。
资料来源:https://www.cyberscoop.com/iran-cyberattack-israel-hacktivist-steel-ics/

9、Cloudflare缓解了峰值2600万RPS的DDoS攻击
安全和Web性能服务提供商Cloudflare宣布,它缓解了峰值每秒2600万次请求(RPS)的分布式拒绝服务(DDoS)攻击,这是迄今为止检测到的最大的HTTPS DDoS攻击。该攻击是由大约5,000台设备的僵尸网络发起的,在大约30秒内,僵尸网络生成了超过2.12亿个HTTPS请求。
资料来源:https://www.bleepingcomputer.com/news/security/cloudflare-mitigates-record-breaking-https-ddos-attack/

三、漏洞态势

Forescout披露了来自10家供应商的56个OT设备漏洞,涉及西门子、霍尼韦尔、菲尼克斯等众多巨头,并表示这些漏洞是由OT中的不安全设计实践引起的。施耐德、Automation Direct、InfiRay等厂商的工控产品同样存在安全漏洞,其中不乏超危漏洞。
1、Forescout披露了来自10家供应商的56个OT设备漏洞
6月21日,Forescout发布了一份安全报告,涵盖了来自10家供应商的56个OT设备漏洞,这些漏洞被统称为OT:ICEFALL,涉及的供应商包括西门子、霍尼韦尔、菲尼克斯电气等巨头。利用这些漏洞,对目标设备具有网络访问权限的攻击者可以远程执行代码,更改OT设备的逻辑、文件或固件,绕过身份验证,破坏凭据,导致拒绝服务或产生各种运营影响。
资料来源:https://thehackernews.com/2022/06/researchers-disclose-56-vulnerabilities.html

2、西门子SINEC工业NMS存在15个漏洞
Claroty的研究部门Team82披露了西门子SINEC网络管理系统(NMS)中存在的15个漏洞。这些漏洞可能允许用户进行提权,从而获得系统管理权限,泄露敏感信息,导致平台拒绝服务,甚至使用NTAUTHORITY\SYSTEM权限在主机上远程执行代码。
资料来源:https://s.vnshu.com/EoHFD

3、西门子修复其产品中的59个漏洞
西门子6月14日发布14条公告,涵盖59个漏洞。其中30个为超危或高危漏洞,都会影响SINEMA Remote Connect Server,可能导致远程代码执行、身份验证绕过、权限提升、命令注入和信息泄露。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-80-vulnerabilities

4、施耐德修复其产品中的24个漏洞
6月14日,施耐德电气发布了8项公告,以修复其产品中发现的24个漏洞。在IGSSSCADA产品的数据服务器模块中发现了七个可用于远程代码执行的超危漏洞。在C-Bus家庭自动化产品中发现了两个与身份验证相关的超危漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-80-vulnerabilities

5、Automation Direct修复PLC、HMI产品中的高危漏洞
Dragos的研究人员发现Automation Direct的一些PLC和HMI产品存在高危漏洞。其中影响C-moreEA9工业触摸屏HMI的两个漏洞分别为DLL劫持漏洞以及明文传输。具有串行通信的PLC受到密码泄露漏洞的影响。
资料来源:https://www.securityweek.com/automationdirect-patches-vulnerabilities-plc-hmi-products

6、InfiRay热像仪漏洞可导致工业流程被篡改
SEC Consult的研究人员在InfiRay热像仪中发现了4个漏洞以及多个包含漏洞的过时软件组件。第一个漏洞(CVE-2022-31210)与硬编码Web凭据有关。还发现了经过身份验证的远程代码执行(CVE-2022-31208)、潜在的缓冲区溢出(CVE-2022-31209)、Telnet Root Shell无密码(CVE-2022-31211)。这些漏洞可能允许恶意黑客篡改工业流程,包括中断生产或进行导致产品质量下降的修改。
资料来源:https://www.securityweek.com/infiray-thermal-camera-flaws-can-allow-hackers-tamper-industrial-processes

7、Korenix JetPort拒绝删除工业串行设备服务器中的后门帐户
Korenix JetPort工业串行设备服务器有一个后门帐户(CVE-2020-12501),攻击者可能会在针对工业组织的攻击中滥用该帐户,但供应商表示该帐户是客户支持所必需的,该账户不会被删除。
资料来源:https://www.securityweek.com/vendor-refuses-remove-backdoor-account-can-facilitate-attacks-industrial-firms

8、CISA警告Illumina DNA测序产品软件存在5个漏洞
美国网络安全和基础设施安全局(CISA)表示,这些漏洞包括路径遍历、危险类型文件的无限制上传、访问控制不当以及敏感信息的明文传输。利用这些漏洞可能会让未经身份验证的恶意攻击者远程控制受影响的产品并在操作系统级别采取任何行动。
资料来源:https://s.vnshu.com/1UTsPW

四、产品方案

施耐德和Claroty、瞻博网络与Dragos两两合作,分别发布楼宇网络安全解决方案以及OT-ICS网络主动攻击响应自动化框架,Xage独自推出关键基础设施多层分布式解决方案,均致力于关基安全。
1、施耐德和Claroty发布楼宇网络安全解决方案
施耐德电气与Claroty合作推出了一种解决方案,可帮助客户保护其楼宇管理系统(BMS)并保护其人员、资产和运营。该Schneider-Claroty解决方案为设施管理人员提供了一个简单的、与供应商无关的解决方案,他们可以使用该解决方案满足建筑物所有者和资产管理人员的安全远程访问、资产库存、效率和其他相关要求。
资料来源:https://s.vnshu.com/2ao6mO

2、Xage推出关键基础设施多层分布式解决方案
零信任安全公司Xage Security宣布了一种分布式多层多因素身份验证(MFA)产品,专为跨关键基础设施站点的实际操作而设计。Xage的多层MFA将零信任访问控制与深度防御身份验证策略相结合,以防止依赖人为错误和社会工程技术的攻击,例如MFA轰炸和需要多层身份验证的关键操作。
资料来源:https://s.vnshu.com/40v9Q5

3、瞻博网络与Dragos合作提供OT-ICS网络主动攻击响应自动化框架
瞻博网络和Dragos已宣布通过官方合作伙伴关系保护关键基础设施,将为OT-ICS网络的主动攻击响应提供自动化框架,并将两家公司的研发工作系统化。该联合解决方案通过创建真正融合的工业网络提供跨IT和OT域的网络安全可见性,对攻击提供近乎实时的响应。
资料来源:https://www.itp.net/security/juniper-networks-dragos-team-up-to-secure-critical-infrastructure

4、Nozomi Networks将其威胁情报服务扩展到第三方安全平台
OT安全公司6月22日宣布,其威胁情报现在可用于第三方网络安全平台。Nozomi Networks威胁情报源包括有关恶意IP地址或URL、新的IOC签名、威胁源、恶意软件哈希以及获取系统访问权限的方法和策略的最新信息。Nozomi Networks表示这些情报具有轻松集成和扩展OT、IT和IoT网络安全环境的灵活性。
资料来源:https://s.vnshu.com/4eGCvg

五、融资并购

工业互联网厂商天地和兴完成D轮近7亿元融资。工控安全厂商威努特完成新一轮融资。江森自控收购关键基础设施网络安全提供商Tempered Networks。
1、工业互联网厂商天地和兴获得数亿元D轮投资
天地和兴表示目前完成的安全项目已超过1000个,覆盖工业控制系统安全、工业互联网安全、工业物联网安全、车联网安全、工业云平台安全、工业网络系统安全集成、工业网络安全教育实训和工业网络安全服务领域。
资料来源:http://www.tdhxkj.com/news/895.html

2、工控安全厂商威努特完成新一轮融资
威努特是国内专注于工控安全领域的国家高新技术企业。以率先独创的“白环境”整体解决方案为核心,深度结合工控系统安全特点研发了覆盖工控网络安全的5大类20款自主可控产品。
资料来源:https://36kr.com/p/1772132397054211

3、江森自控收购关键基础设施网络安全提供商Tempered Networks
Tempered的解决方案Airwall使用主机身份协议和基于云的策略编排平台来创建基于加密和经过身份验证的通信的新覆盖网络,从而实现更高的系统自动化功能。江森自控表示,Tempered的Airwall能够推动其实现足以抵御网络攻击的完全自主建筑的愿景。
资料来源:https://www.securityweek.com/johnson-controls-acquires-tempered-networks-shield-buildings-cyberattacks